Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Organisaatio ottaa käyttöön ja ylläpitää nollaluottamusta todennuksessa kaikissa järjestelmissään ja laitteistoissaan. Autentikoinnissa olisi otettava huomioon ainakin nämä kontrollit:

• Käyttäjien, palveluiden ja laitteistojen säännöllinen uudelleentodentaminen riskitasojen ja toimintamallien perusteella.
• Käytetään kontekstisidonnaisia tekijöitä, kuten käyttäjän rooleja, laitteen kuntoa, sijaintia ja käyttötapaa, määritettäessä uudelleen todentamisen tiheyttä ja vaatimuksia.
• Kunkin laitteiston, palvelun ja käyttäjän eheys, identiteetti ja aitous olisi vahvistettava, pääsy olisi evättävä oletusarvoisesti ja pääsy olisi myönnettävä vähimpien oikeuksien perusteella.
• Monitekijätodennuksen (MFA) sisällyttäminen pakolliseksi vaiheeksi todennus- ja uudelleentodennusprosesseihin.

Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

• saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
• saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
• saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

• henkilön haluttomuus tulevaan muutokseen
• henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
• suojattavan omaisuuden arvo, johon työntekijällä on pääsy